Как шифровать трафик от провайдера. Шифрованный трафик может быть классифицирован. Шифрование внешних жестких дисков и USB-накопителей

Шифрование usb флешки

Как шифровать трафик от провайдера. Шифрованный трафик может быть классифицирован. Шифрование внешних жестких дисков и USB-накопителей

Мы носим свои USB флешки везде с собой, потому что обычно там находятся очень важные файлы, которые могут нам понадобиться в любой момент. А что будет, если вы их потеряете? Файлов больше нет, и у вас даже нет резервной копии, но любой, кто найдет флешку может их использовать в своих интересах.

Люди хранят различные виды важной информации на своих USB флешках и наличие этой информации у кого -либо еще может иметь очень печальные последствия. Но вы можете защитить себя, выполнив шифрование USB флешки.

В таком случае, даже если кто-либо найдет потерянную флешку, если у него нет ресурсов для взлома передовых алгоритмов шифрования или вы не используете слишком слабый пароль, то можете быть уверены что ваши файлы никому больше не достанутся.

В этой статье мы будем рассматривать как выполнить шифрование флешки VeraCrypt.

Установка VeraCrypt

VeraCrypt – это очень надежный и в то же время простой способ зашифровать фшелку в Linux или Windows или другие устройства хранения.

Это популярная утилита, созданная на основе ранее известного и часто используемого программного обеспечения TrueCrypt.

В этой статье мы рассмотрим как работать с утилитой в Linux и Windows, но программа поддерживается также в MacOS. Пользователи Windows могут скачать программу на официальном сайте:

Установочный пакет для Linux можно скачать там же. Или используйте такую команду из терминала:

wget https://launchpad.net/veracrypt/trunk/1.21/+download/veracrypt-1.21-setup.tar.bz2

Дальше нужно распаковать полученный архив:

tar xvpzf veracrypt-1.21-setup.tar.bz2

Затем запустите установщик и следуйте инструкциям, во всех операционных системах действия будут приблизительно одинаковыми:

./veracrypt-setup-gui-x86-64

Вам нужно принять лицензию, ввести пароль суперпользователя в случае Linux, и еще несколько раз нажать Enter:

После завершения установки вы сможете найти программу в главном меню системы:

Дальше рассмотрим как выполнять шифрование данных на флешке.

Шифрование флешки Linux

Теперь, когда утилита VeraCrypt установлена в системе, вы можете выполнять шифрование флешки linux или любых других носителей. Перед тем как начать отключите все USB накопители. Этот процесс сотрет все данные на флешке. Пусть нужный накопитель будет подключен но размонтирован.

Шаг 1. Создание раздела

Когда вы в первый раз запустите VeraCrypt, вы увидите простое окно со списком всех устройств, которые можно подключить. Это не реальные жесткие диски, это просто места, куда вы можете подключить зашифрованный раздел. Но это потом. Сейчас нажмите кнопку “Create Volume”:

Шаг 2. Выбор типа раздела

Здесь вы можете создать шифрованный контейнер в файле или же зашифровать целый раздел. Для шифрования флешки нам нужно выбрать второй пункт:

Шаг 3. Обычный или скрытый

В следующем окне мастера можно выбрать тип раздела, который будет размещен на флешке – обычный или скрытый. Скрытые разделы нельзя увидеть если вы не знаете, что они там есть. Такие разделы добавляют дополнительный уровень безопасности, но вам придется помнить где они расположены.

Шаг 4. Выбор USB

Дальше вам нужно выбрать USB устройство, которое вы хотите зашифровать. Выберите его из списка доступных устройств:

Также, вы можете шифровать все устройство или только один раздел на нем. Просто выбирайте на раздел на устройстве, а само устройство.

Шаг 5. Выберите метод шифрования

На следующем этапе нужно выбрать какой алгоритм будет использоваться для шифрования. Это очень важный шаг. На данный момент для максимальной безопасности достаточно выбрать AES и SHA512.

Шаг 6. Создание пароля

Пароль необходим чтобы только вы могли получить доступ к вашему диску. Вам нужно выбрать такой пароль, чтобы сохранить баланс между безопасностью и запоминаемостью. Идеальный – сложный пароль из букв, цифр и символов. Но если вы забудете этот пароль, ваши данные будут утеряны навсегда.

Шаг 7. Кроссплатформенность

Выберите будет ли флешка использоваться только в Linux или ее можно будет подключать в других системах:

Шаг 8. Форматирование

Последний шаг – это выбрать файловую систему для шифрованного раздела и отформатировать его:

По умолчанию установщик предлагает использовать файловую систему FAT, но если вы хотите хранить большие файлы, более 4 Гб, то вам нужно выбрать Ext4 для Linux или NTFS для Windows.

Для получения большего количества случайных событий во время шифрования подвигайте мышкой в окне программы пока не заполниться синий индикатор.

Использование шифрованной USB флешки

Когда шифрование usb флешки будет завершено, вы можете начать использовать ваше устройство. Вернитесь на главный экран программы и выберите слот, куда вы хотите подключить вашу флешку. В Windows нужно выбрать букву диска.

Дальше нажмите “Select Device” и выберите вашу флешку, затем нажмите “Open”:

Снова вернитесь в главное меню и выберите пункт “Mount”:

VeraCrypt подключит ваше устройство и вы сможете им пользоваться как обычной USB флешкой. После того как завершите, не забудьте нажать “Dismount” чтобы отключить флешку от системы.

Выводы

Источник: https://losst.ru/shifrovanie-usb-fleshki

Secure-Market.ru

Как шифровать трафик от провайдера. Шифрованный трафик может быть классифицирован. Шифрование внешних жестких дисков и USB-накопителей

Купить Флешку или диск с аппаратным шифрованием в Secure-Market.ru На сайте представлена вся информация по моделям флешек и внешних жестких дисков с шифрованием.

В случае, если вам необходимо подобрать флешку или диск с шифрованием данных, но вы затрудняетесь с выбором – воспользуйтесь консультацией по телефону прямо сейчас. Звоните +7 (499) 653-51-89

Супер предложение. Флешки и диски с ПИН-кодом iStorage со скидкой 16% до 12 сентября

– 11%

От 4 370 руб. 4 900 руб.

Компактный USB-носитель с ПИН-кодом, аппаратным шифрованием AES-256 бит и функцией гарантированного уничтожения данных без возможности восстановления. Объем памяти 4 ГБ, 8 ГБ, 16 ГБ или 32 ГБ, подключение USB 2.0

От 5 650 руб.

Флэш накопитель с аппаратным шифрованием XTS-AES 256-бит и уничтожением информации, объем защищенной памяти 4, 8, 16, 32 или 64 ГБ, USB 3.0, Корпус из полированной стали.

– 26%

От 4 820 руб. 6 500 руб.

iStorage datAshur Personal2

Защищенная Флешка, объемом 8, 16, 32 или 64 ГБ, с аппаратным шифрованием XTS-AES 256-бит и уничтожением информации. USB 3.0. Корпус из черного пластика.

– 12%

От 19 900 руб. 22 500 руб.

Внешний диск с аппаратным шифрованием AES-XTS 256-bit и уничтожением информации. Интервейс USB 3.1, защищённая память от 500 ГБ до 4 ТБ.

– 9%

От 24 700 руб. 27 000 руб.

Внешний SSD диск с аппаратным шифрованием AES-XTS 256-bit и уничтожением информации. Объем защищенной памяти от 128 ГБ до 1000 ГБ. Интерфейс USB 3.0

От 25 000 руб.

Внешний диск с ПИН-кодом, аппаратным шифрованием AES-XTS 256-bit и уничтожением информации, объемом от 500 ГБ до 5 ТБ. Интерфейс USB 3.1, корпус из алюминия, защита от механического взлома, корпус защищен от пыли и влаги по стандарту IP56.

От 34 000 руб.

Надежный внешний жесткий диск с аппаратным шифрованием XTS-AES 256 бит, защитой ПИН-кодом от посторонних лиц и экстренным уничтожением всех данных. Подключается по высокоскоростному интерфейсу USB 3.1, объем памяти от 1 Тб до 14 Тб. Работает с любой операционной системой.

От 14 670 руб.

Компактный внешний жесткий диск с аппаратным шифрованием, объемом 500 Гб или 1Тб, поддерживает интерфейс USB 3.0. Работает без установки ПО, совместим с Windows, Mac OS, Android и Linux. Размером не с пачку сигарет, весит всего 175 г.

От 21 780 руб.

Переносной жесткий диск большого объема (от 1 Тб до 3 Тб) с шифрованием и уничтожением информации.

– 12%

4 400 руб. 4 980 руб.

Флешка объемом 8, 16 или 32 Гб с аппаратным шифрованием и уничтожением информации. Не требует установки ПО, ввод пароля на корпусе, функция “экстренное уничтожение информации”.

От 22 490 руб.

Ультратонкий переносной SSD диск с шифрованием и уничтожением информации объемом от 64 до 480 ГБ.

6 900 руб.

∙ Цельнометаллический корпус.∙ PIN-код из 6-15 символов – алфавитно-цифровая кнопочная панель использует кодовое число или слово для PIN-кода.∙ Военный стандарт AES 256-битного аппаратного шифрования со сцеплением блоков зашифрованного кода (CBC).

∙ Автоблокировка при изъятии из порта USB.∙ Ввод пароля на корпусе устройства.∙ Шифрование информации.∙ Возможность многократного использования устройства после стирания информации.∙ Не требует установки ПО.∙ Экстренное удаление информации без подключения к источнику питания.

Совместимость: Windows, Mac OS, Linux, Android.

  1. Универсальность. Для работы не нужно ставить никакое ПО, просто подключил флешку, ввел пароль и можешь работать. И абсолютно не важно, какая у тебя операционная система, можно работать с Mac OS, Windows или Linux. Для компьютера это обычная флешка.

  2. Надежность. Все данные храниться в зашифрованном виде, алгоритм шифрования AES с длинной ключа 256 бит, на данный момент это самый защищённый алгоритм шифрования, который используют военные ведомства стран НАТО. И если вы вдруг потеряете эту флешку, то никто не сможет прочитать с нее данные, а при попытке ввода пароля несколько раз все данные просто сотрутся.

    А если вас заставят ввести пароль что бы завладеть данными вы можете ввести «пароль входа под принуждением» и все данные будут мгновенно уничтожены.

  3. Удобство. Флешкой с шифрованием удобно пользоваться, панель ввода пароля находится прямо на самом корпусе, причем на панели есть как буквы, так и цифры и можно придумать любой пароль.

  4. Компактность, размеры флешек с шифрованием ненамного больше обычной флешки, а вес не превышает 100 гр. Более того, немного увеличенные габариты не позволят ее так просто потерять.

  5. Цена. Флешки с аппаратным шифрованием стоят совсем не больших денег, причем цена на них зависит не от бренда, а от качества комплектующих. Это связано с тем что процесс шифрования замедляет работу, и что бы флешка не «тормозила» необходимо использовать высокоскоростные микросхемы.

    На обычной флешке несколько микросхем памяти, и производители что бы снизить стоимость обычно ставят первую микросхему быструю и дорогую, а все остальные медленные и дешевые, это легко проверяется если скопировать на флекшку и обратно очень большой файл. Сначала скорость копирования будет быстрой, а потом резко упадет.

    Для производства флешек с аппаратным шифрованием используются только быстрые микросхемы памяти.

Внешний жесткий диск с шифрованием

Принцип работы у внешних дисков шифрованием ничем не отличается от флешек с шифрованием. Внутри находится обычный жесткий диск 2,5 дюйма для компактных устройств объемом 500 или 100 Гб или 3,5 дюйма объёмом от 1 до 3 Тб.

Данные шифруются аппаратно, для доступа к ним нужно ввести пин код на панели диска. Дополнительно такие устройства оборудованы функция, которая предотвращает попытки вскрыть жесткий диск. Если это происходит, все данные мгновенно уничтожаются.

Внешние жестки диски с шифрованием между собой отличаются не только объемом хранимых данных, от 500 Гб до 3 Тб, размером и весом устройства. Но и дополнительными функциями безопасности, например, диски с индексом DT имеют датчик вскрытия корпуса, который срабатывает если диск попытаются вскрыть физически, при этом произойдет полное уничтожение данных.

Источник: https://www.secure-market.ru/collection/usb-nositeli

BitLocker — Шифрование диска

Как шифровать трафик от провайдера. Шифрованный трафик может быть классифицирован. Шифрование внешних жестких дисков и USB-накопителей

Здравствуйте Друзья! В этой статье мы продолжим изучать встроенные в Windows системы призванные повысить безопасность наших данных. Сегодня это система шифрования дисков Bitlocker. Шифрование данных нужно для того что бы вашей информацией не воспользовались чужие люди. Как она к ним попадет это уже другой вопрос.

Шифрование — это процесс преобразования данных таким образом что бы получить доступ к ним могли только нужные люди. Для получения доступа обычно используют ключи или пароли.

Шифрование всего диска позволяет исключить доступ к данным при подключении вашего жесткого диска к другому компьютеру. На системе злоумышленника может быть установлена другая операционная система для обхода защиты, но это не поможет если вы используете BitLocker.

Технология BitLocker появилась с выходом операционной системы Windows Vista и была усовершенствована в Windows 7. Bitlocker доступен в версиях Windows 7 Максимальная и Корпоративная а так же в Windows 8 Pro. Владельцам других версий придется искать альтернативу.

Как работает шифрование диска BitLocker

Не вдаваясь в подробности выглядит это так. Система шифрует весь диск и дает вам ключи от него. Если вы шифруете системный диск то без вашего ключа компьютер не загрузится.

Тоже самое как ключи от квартиры. У вас они есть вы в нее попадете.

Потеряли, нужно воспользоваться запасными (кодом восстановления (выдается при шифровании)) и менять замок (сделать шифрование заново с другими ключами)

Для надежной защиты желательно наличие в компьютере доверенного платформенного модуля TPM (Trusted Platform Module). Если он есть и его версия 1.2 или выше, то он будет управлять процессом и у вас появятся более сильные методы защиты. Если же его нет, то возможно будет воспользоваться только ключом на USB-накопителе.

Работает BitLocker следующим образом. Каждый сектор диска шифруется отдельно с помощью ключа (full-volume encryption key, FVEK). Используется алгоритм AES со 128 битным ключом и диффузором. Ключ можно поменять на 256 битный в групповых политиках безопасности.

Для этого воспользуемся поиском в Windows 7. Открываем меню Пуск и в поле поиска пишем «политики» и выбираем Изменение групповой политики

В открывшемся окошке в левой части переходим по пути

Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker

В правой части дважды кликаем на Выберите метод шифрования диска и стойкость шифра

В открывшемся окошке нажимаем Включить политику. В разделе Выбрать метод шифрования из выпадающего списка выбираем нужный

Самый надежный это AES с 256-битным ключом с диффузором. При этом скорее всего нагрузка на центральный процессор будет чуть чуть повыше, но не на много и на современных компьютерах вы разницы не заметите. Зато данные будут надежней защищены.

Использование диффузора еще больше повышает надежность так как приводит к значительным изменением зашифрованной информации при незначительном изменении исходных данных. То есть, при шифровании двух секторов с практически одинаковыми данными результат будет значительно отличаться.

Сам ключ FVEK располагается среди метаданных жесткого диска и так же шифруется с помощью основного ключа тома(volume master key, VMK). VMK так же шифруется с помощью TPM модуля. Если последний отсутствует, то с помощью ключа на USB накопителе.

Если USB накопитель с ключом будет недоступен, то необходимо воспользоваться 48-значным кодом восстановления. После этого система сможет расшифровать основной ключ тома, с помощью которого расшифрует ключ FVEK, с помощью которого будет разблокирован диск и пойдет загрузка операционной системы.

Усовершенствование BitLocker в Windows 7

При установке Windows 7 с флешки или с диска предлагается разметить или настроить диск. При настройке диска создается дополнительный загрузочный раздел размером 100 МБ. Наверное не у меня одного возникали вопросы по поводу его назначения. Вот именно этот раздел и нужен для работы технологии Bitlocker.

Этот раздел является скрытым и загрузочным и он не шифруется иначе не возможно было бы загрузить операционную систему.

В Windows Vista этот раздел или том должен быть объемом в 1.5 ГБ. В Windows 7 его сделали 100 МБ.

Если же вы при установке операционной системы сделали разбивку сторонними программами, то есть не создали загрузочный раздел, то в Windows 7 BitLocker сам подготовит нужный раздел. В Windows Vista вам бы пришлось его создавать с помощью дополнительного софта идущего в комплекте с операционной системой.

Так же в Windows 7 появилась технология BitLocker To Go для шифрования флешек и внешних жестких дисков. Рассмотрим ее позже.

Как включить шифрование диска BitLocker

По умолчанию BitLocker настроен на запуск с модулем TPM и при его отсутствии не захочет запускаться. (Сначала просто попробуйте включить шифрование и если запуститься, то не нужно ничего отключать в групповых политиках)

Для запуска шифрования заходим в Панель управления\Система и безопасность\Шифрование диска BitLocker

Выбираем нужный диск (в нашем примере это системный раздел) и нажимаем Включить BitLocker

Если же вы видите картинку подобную ниже

необходимо править групповые политики.

С помощью поиска из меню Пуск вызываем Редактор локальной групповой политики

Идем по пути

Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker > Диски операционной системы

Справа выбираем Обязательная дополнительная проверка подлинности

В открывшемся окошке нажимаем Включить, затем необходимо проконтролировать наличие галочки Разрешить использование BitLocker без совместимого TPM и нажать ОК

После этого BitLocker можно будет запустить. Вас попросят выбрать единственный вариант защиты — Запрашивать ключ запуска при запуске. Это и выбираем

Вставляем флешку на которую будет записан ключ запуска и нажимаем Сохранить

Теперь необходимо сохранить ключ восстановления, на тот случай если флешка с ключом запуска будет не в зоне доступа. Можно сохранить ключ на флешке (желательно другой), сохранить ключ в файле для последующего переноса на другой компьютер или сразу распечатать.

Ключ восстановления нужно естественно хранить в надежном месте. Сохраню ключ в файл

Ключ восстановления не получиться сохранить на диске который вы собираетесь зашифровать.

Нажимаете Далее

Ключ восстановления это простой текстовый документ с самим ключом

Затем у вас откроется последнее окошко в котором вам рекомендуют Запустить проверку системы BitLocker до шифрования диска. Нажимаем Продолжить

Сохраняете все открытые документы и нажимаете Перезагрузить сейчас

Вот что увидите если что то пойдет не так

Если все работает то после перезагрузки компьютера запустится шифрование

Время зависит от мощности вашего процессора, емкости раздела или тома который вы шифруете и скорости обмена данными с накопителем (SSD или HDD).  Твердотельный диск на 60 Гб заполненные почти под завязку шифруются минут за 30 при этом еще работают Добровольные распределенные вычисления.

Когда шифрование будет завершено увидите следующую картинку

Закрываете окошко и проверяете в надежных ли местах находятся ключ запуска и ключ восстановления.

Шифрование флешки — BitLocker To Go

С появлением в Windows 7 технологии BitLocker To Go стало возможным шифровать флешки, карты памяти и внешние жесткие диски. Это очень удобно так как флешку потерять гораздо легче чем ноутбук и нетбук.

Через поиск или пройдя по пути

Пуск > Панель управления > Система и безопасность > Шифрование диска BitLocker

открываем окошко управления. Вставляете флешку которую нужно зашифровать и в разделе BitLocker To Go включаем шифрование для нужного USB накопителя

Необходимо выбрать способ снятия блокировки диска. Выбор не большой или пароль или сим-карта с ПИН-кодом. Сим-карты выпускаются специальными отделами в больших корпорациях. Воспользуемся простым паролем.

Устанавливаем галочку использовать пароль для снятия блокировки диска и два раза вводим пароль. По умолчанию минимальная длинна пароля составляет 8 символов (можно поменять в групповых политиках). Нажимаем Далее

Выбираем как будем сохранять ключ восстановления. Надежно, наверное, будет напечатать его. Сохраняем и нажимаем Далее

Нажимаем Начать шифрование и защищаем свои данные

Время шифрования зависит от емкости флешки, заполненности ее информацией, мощности вашего процессора и скорости обмена данными с компьютером

На емких флешках или внешних жестких диска эта процедура может затянуться на долго. По идее процесс можно закончить на другом компьютере. Для этого ставите шифрование на паузу и правильно извлекаете накопитель. Вставляете ее в другой компьютер разблокируете введя пароль и шифрование продолжится автоматически.

Теперь при установки флешки в компьютер появится окошко ниже с просьбой ввести пароль

Если вы доверяете этому компьютеру и не хотите постоянно вводить пароль устанавливаете галочку В дальнейшем автоматически снимать блокировку с этого компьютера и нажимаете Разблокировать. На этот компьютере вам больше не придется вводить пароль для этой флешки.

Для того что бы информацией на зашифрованном USB-накопителе можно было воспользоваться на компьютерах под управлением ОС Windows Vista или Windows XP флешку нужно отформатировать в файловую систему FAT32. В этих операционных системах возможно будет разблокировать флешку только введя пароль и информация будет доступна только для чтения. Запись информации не доступна.

Управление зашифрованным разделом

Управление осуществляется из окошка Шифрование диска BitLocker. Можно найти это окошко с помощью поиска, а можно зайти по адресу

Панель управления > Система и безопасность > Шифрование диска BitLocker

Вы можете выключить шифрование нажав на «Выключить BitLocker». В этом случае диск или том дешифруется. Это займет какое-то время и не нужно будет никаких ключей.

Так же здесь можно приостановить защиту

Данную функцию рекомендуют использовать при обновлении BIOS или редактировании загрузочного диска. (Того самого объемом 100 МБ). Приостановить защиту можно только на системном диске (тот раздел или том на котором установлена Windows).

Почему нужно приостанавливать шифрование? Что бы BitLocker не заблокировал ваш диск и не прибегать к процедуре восстановления. Параметры системы (BIOS и содержимое загрузочного раздела) при шифровании фиксируются для дополнительной защиты. При их изменении может произойти блокировка компьютера.

Если вы выберите Управление BitLocker, то можно будет Сохранить или напечатать ключ восстановление и Дублировать ключ запуска

Если один из ключей (ключ запуска или ключ восстановления) утерян, здесь можно их восстановить.

Управление шифрованием внешних накопителей

Для управления параметрами шифрования флешки доступны следующие функции

Можно изменить пароль для снятия блокировки. Удалить пароль можно только если для снятия блокировки используется смарт-карта. Так же можно сохранить или напечатать ключ восстановления и включить снятие блокировки диска для этого компьютера автоматически.

Восстановление доступа к диску

Восстановление доступа к системному диску

Если флешка с ключом вне зоны доступа, то в дело вступает ключ восстановления. При загрузке компьютера вы увидите приблизительно следующую картину

Для восстановления доступа и загрузки Windows нажимаем Enter

Увидим экран с просьбой ввести ключ восстановления

С вводом последней цифры при условии правильного ключа восстановления автоматически пойдет загружаться операционная система.

Восстановление доступа к съемным накопителям

Для восстановления доступа к информации на флешке или внешнему HDD нажимаем Забыли пароль?

Выбираем Ввести ключ восстановления

и вводим этот страшный 48-значный код. Жмем Далее

Если ключ восстановления подходит то диск будет разблокирован

Появляется ссылочка на Управление BitLocker, где можно изменить пароль для разблокировки накопителя.

Для большей безопасности информации рекомендуется использовать сложные пароли состоящие более чем из 8 знаков с буквами в разных регистрах, цифрами и специальными символами.

 Заключение

В этой статье мы узнали каким образом можно защитить нашу информацию зашифровав ее с помощью встроенного средства BitLocker. Огорчает, что эта технология доступна только в старших или продвинутых версиях ОС Windows. Так же стало ясно для чего же создается этот скрытый и загрузочный раздел размером 100 МБ при настройке диска средствами Windows.

Возможно буду пользоваться шифрованием флешек или внешних жестких дисков. Но, это маловероятно так как есть хорошие заменители в виде облачных сервисов хранения данных таких как DropBox, Google Диск, Яндекс Диск и подобные.

Благодарю, что поделились статьей в социальных сетях. Всего Вам Доброго!

С уважением, Антон Дьяченко

, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Источник: https://youpk.ru/bitlocker-shifrovanie-diska/

Как Cisco анализирует зашифрованный трафик без его расшифрования и дешифрования

Как шифровать трафик от провайдера. Шифрованный трафик может быть классифицирован. Шифрование внешних жестких дисков и USB-накопителей

Блог Cisco в России и СНГ > Безопасность

Безопасность Алексей Лукацкий
January 15, 2018

В чем проблема?

Сейчас, по оценкам Cisco, 60% трафика в Интернет зашифровано, а согласно прогнозам Gartner к 2019-му уже 80% трафика будет таковым. С одной стороны это хорошо. Это надо для обеспечения приватности граждан, для выполнения требований законодательства, для сохранения тайн в секрете.

Но у шифрования есть и обратная сторона. Его также используют и злоумышленники, скрывая взаимодействие с командными серверами вредоносных программ и для других задач.

Согласно отчету Ponemon Institute за 2016 год, почти половина (41%) злоумышленников используют шифрование для обхода механизмов детектирования их несанкционированной активности.

Как решить эту проблему?

С одной стороны средства защиты не могут видеть, что происходит в зашифрованном трафике – по данным Ponemon Institute 64% компаний не могут детектировать вредоносный код в зашифрованном трафике.

Но существует классический подход, который часто используется ИБ-производителями и государствами для проникновения в зашифрованные соединения. Речь идет об атаке Man-in-the-Middle (MITM), которую осуществляют в легальных целях.

Обычно на периметре корпоративной или ведомственной сети или на границе государства устанавливает шлюз или кластер из шлюзов, которые и осуществляют “перехват” и расшифрование трафика. Такой способ применяется по данным Ponemon Institute только 38% компаний, но и у него есть проблемы.

Это и его легальность (никто не давал вам права нарушать тайну переписки или иные требования законодательства по обеспечению конфиденцильности информации), и место внедрения (на MITM-шлюз надо направлять весь трафик, иначе этот метод дает сбой и не позволяет увидеть трафик), и стоимость (это существенно удорожает систему безопасности), и производительность (MITM-шлюзы должны работать на скорости потока, что не всегда возможно, так как криптографическая обработка сама по себе снижает пропускную способность).

А можно ли распознавать вредоносную активность, не прибегая к расшифрованию или дешифрованию (второе отличается от первого отсутствием ключей шифрования)? Оказывается можно.

Мы разработали технологию под названием ETA (Encrypted Traffic Analytics), которая позволяет, опираясь на сетевую телеметрию, получаемую с сетевого оборудования, и алгоритмы машинного обучения, классифицировать зашифрованный трафик, попутно отделяя в нем чистый трафик от вредоносного.

Cisco ETA

Наша идея заключается в том, что мы оперируем не полем данных в зашифрованным пакете, а его заголовком. Казалось бы, как можно по заголовку понять, что внутри зашифрованного трафика действует какая-то вредоносная программа? Оказывается можно. Мы используем расширенную телеметрию в виде следующих данных, которые можно брать из сетевого трафика:

  • из Netflow – адреса и порты источника и получателя (SrcIP, DstIP, SrcPort, DstPort), информацию о протоколе, количество переданных пкетов и байтов;
  • внутрипотоковые – размеры пакетов & временные параметры, распределение байтов (встречаемость в потоке) и их энтропию (чем она выше, тем выше ожидание увидеть именно зашифрованный трафик);
  • из метаданных TLS – расширения, наборы криптографических алгоритмов, SNI, поля сертификатов;
  • из DNS – имена доменов, типы запросов, временные параметры запросов;
  • из HTTP – заголовки и сопутствующие поля, в том числе других http-запросов с этого же хоста.

Обратите внимание, данных для каждого потока мы берем достаточно много. В этом залог успеха классификации вредоносного трафика.

Опираясь только на один из описанных параметров телеметрии, эффективность распознавания будет гораздо ниже, превращая саму идею “в тыкву”.

Второй слагаемой успеха Cisco ETA является машинное обучение, на вход которого подавался трафик, используемый для классификации. Разработанные нами алгоритмы позволяли обучиться на десятках тысяч потоков как известного вредоносного кода, так и чистого трафика.

Вредоносный трафик мы брали с сервиса-песочницы Cisco AMP Threat Grid, который позволяет не только получать на выходе полноценный анализ вредоносного кода, но и сгенерить по нему pcap-файл (кстати, наше подразделение Cisco Talos разработало специальную open source утилиту file2pcap, которая транслирует любой файл в трафик HTTP/HTTP2/FTP/SMTP/IMAP/POP3 в виде pcap-файла). За основу мы брали стопроцентно вредоносный код с 100-балльным уровнем угрозы по 100-балльной шкале. Каждый pcap-файл содержал пятиминутную сессию, а всего таких файлов было подано на вход разработанных нами специальных алгоритмов несколько миллионов. Анализ продолжался с августа 2015 по май 2016 года.

Утилита, используемая при изучении зашифрованного трафика с помощью машинного обучения

На первом тестовом наборе данных мы опирались в первую очередь на размеры пакетов и временные параметры (SPLT, Sequence of Packet Lengths and Arrival Times), распределение байтов (BD, Byte Distribution) и их энтропию (BE, Byte Entropy) в заголовках сетевого трафика, а также на метаданные TLS. Результаты распознавания и классификации вредоносного ПО оказались неплохими, но явно недостаточными.

На втором тестовом наборе мы добавили контекстную информацию из трафика DNS (в том числе наличие домена в списке Alexa, длина имени домена и FQDN, суффикс, TTL, % цифр в имени домена, % не буквенночисловых символов в имени домена) и HTTP (в том числе поля заголовка запроса/ответа, Content-Type, User-Agent, Accept-Language, HTTP-сервер, код возврата). В итоге, комбинируя различные параметры, мы добились точности распознавания вредоносного кода в зашифрованном трафике на уровне трех девяток (99.9%).

Анализ большого объема данных вредоносных программ различных семейств с помощью технологии Cisco ETA показал, что они часто используют схожие свойства и параметры, которые и позволяют их идентифицировать с высокой точностью:

  • используемая длина для публичных ключей и используемый алгоритм шифрования;

Распределение длин ключей шифрования в процессе исследования

  • используемые TLS-сервера (мы ориентировались в первую очередь на TLS-трафик, но для устаревшего SSL идея будет схожая);
  • тип сертификата (например, выяснилось, что самоподписанные сертификаты используются вредоносным ПО с вероятностью 0.7, в то время как у легальных приложений в корпоративной сети этот показатель равен 0.09);
  • самым часто выбираемым криптографическим набором является TLS_RSA_WITH_RC4_128_SHA;

Обнаруженные в процессе 1 часа исследования криптографические наборы (700+ тысяч потоков)

  • различное использование заглавных и прописных букв (иногда с опечатками) в заголовке HTTP (User-Agent vs user agent vs User-agent vs USER-AGENT vs User-AgEnt);
  • распространённые значения User-Agent (например, Opera/9.50(WindowsNT6.0;U;en) или Mozilla/5.0(Windows;U;WindowsNT5.1;en-US;rv:1.9.2.3)Gecko/20100401Firefox/3.6.1(.NETCLR3.5.30731));
  • значения TTL в DNS-запросах (чаще всего – 3600);
  • домены, к которым идет обращение (около 95% доменов отсутствует в списке Alexa top-1,000,000);
  • тип HTTP-сервера (чаще всего – nginx);
  • и т.д.

Да, эти параметры (и их комбинации) сильно зависят от того, какое вредоносное ПО их использует. И они могут меняться. Но применение машинного обучения на большой выборке (а через Cisco AMP Threat Grid ежедневно проходит около 18 миллиардов файлов, из которых 1,5 миллиона вредоносных) все равно позволяет находить общие классификационные признаки и закладывать это знание в Cisco ETA.

Визуализация обнаружения зашифрованного трафика

Также в процессе тестированы Cisco ETA мы получили и ряд побочных эффектов. Например, мы смогли распознавать TLS на нестандартных портах, отличающихся от обычного 443-го. Были и нестандартные находки.

Например, с помощью нашего классификатора мы смогли распознать на выборке из 80 тысяч потоков (при увеличении выборки точност распознавания должна вырасти еще больше) TLS поверх DNS, что в обычной жизни бывает нечасто, но может использоваться тем же вредоносным кодом, скрывающим свою активность в рамках разрешенного на периметре DNS.

Машинное обучение помогло обнаружить TLS over DNS

Что надо для работы?

Для того, чтобы воспользоваться возможностями Cisco ETA не нужно ничего менять в существующей инфраструктуре, не нужно перенаправлять никуда трафик для анализа. Нужно всего три элемента для работы всей схемы:

  • Сетевое оборудование, поддерживающее Netflow и технологию ETA. Сейчас это коммутаторы Cisco Catalyst 9000 (начиная с версии IOS XE 16.6.1) и маршрутизаторы Cisco ASR 1000, ISR 4000, CSR, ISRv (начиная с версии IOS XE 16.6.2), но поддержка ETA в скором времени появится и в других устройствах Cisco. Если ваша сеть уже построена на базе инфраструктуры Cisco, то возможно вам понадобится только проапгрейдить ПО на коммутаторах и маршрутизаторах.
  • Система мониторинга сетевых аномалий Cisco Stealthwatch (начиная с версии 6.9.2), которая получает данные Netflow от существующего сетевого оборудования и которая проводит анализ и классификацию трафика, распознавая в нем признаки вредоносного кода. Стоит отдельно отметить, что Cisco Stealthwatch работает с несемплированным Netflow-трафиком, который позволяет увидеть гораздо больше, чем решения, ориентированные только на семплированный Netflow. Разница между этими двумя видами Netflow, – это как читать книгу целиком (несемплированный трафик) или каждую 10-ю страницу (семплированный трафик).

Stealthwatch с ETA

  • Облачный движок Cisco Cognitive Threat Analytics (является частью решения Cisco Stealthwatch и не требует отдельной покупки), который дополняет анализ Netflow анализом метаданных TLS, HTTP и DNS. Нужные метаданные (не весь трафик) направляются в CTA, который после анализа возвращает ответ, используемый Cisco Stealthwatch для принятия финального вердикта и его отображения.

Интеграция Stealthwatch с CTA

Cognitive Threat Analytics проводит глубокий анализ Web-логов с помощью машинного обучения

Дополнительная информация:

Источник: https://gblogs.cisco.com/ru/eta/

Шифрованный трафик может быть классифицирован

Как шифровать трафик от провайдера. Шифрованный трафик может быть классифицирован. Шифрование внешних жестких дисков и USB-накопителей

14.06.2017 | Владимир Хазов

Мировая статистика показывает, что доля шифрованного трафика сети Интернет уже превысила 50 %, и эта тенденция будет сохраняться.

Получить SSL-сертификат для своего сайта или сервиса становится проще, и каждый владелец ресурса выбирает протокол HTTPS, защищая данные своих пользователей.

Для операторов связи и интернет-провайдеров остро встает вопрос выбора способов классификации шифрованного трафика. О них мы и расскажем сегодня.

Почему растет доля шифрованного трафика?

Большую часть зашифрованного трафика генерируют такие крупные поставщики контента, как , , Netflix и другие. Их стремление перевести доступ к своим сервисам на протокол HTTPs вызвано глобальной тенденцией обеспечения конфиденциальности в Сети и защиты передаваемых данных.

Аналогично поступают и ведущие дата-центры мира: Yahoo, Google и Microsoft шифруют весь свой внутренний трафик, а также до 25 % трафика, используемого веб-приложениями, электронной почтой и облачными платформами.

Российские реалии немного отличаются от общемировых: примерно 40 % от всей полосы пропускания занимает P2P-трафик, на веб-доступ приходится еще 40 %, остальные 20 % – другие протоколы.

Причем за последние 4 года доля HTTPs увеличилась в 2 раза (с 5–10 % до 15–20 %), что обусловлено переходом мировых поставщиков контента на SSL-шифрование (по данным аналитических исследований телекоммуникационной компании УралВЭС).

Отчет по полосе пропускания УралВЭС

Принцип работы HTTPs

HTTPs – это обычный HTTP, который работает с использованием шифрованных механизмов SSL и TLS. В процессе обмена между пользователем и удаленным узлом данные передаются в зашифрованном виде и не могут быть перехвачены и использованы третьими лицами.

Безопасность HTTPs. Изображение: yandex.ru

Принцип работы протокола SSL/TLS заключается в использовании общих секретных ключей. Устанавливая соединение по HTTPs, ваш ПК сначала с его помощью шифрует информацию, а затем передает ее в Интернет.

Взломать или подобрать ключ практически невозможно, так как он сложный и длинный, но существует вероятность перехвата и подделки адреса отправителя, в результате чего получатель будет думать, что пакет пришел от вас, а не от злоумышленника.

Таким способом перехвата пользуются для создания man-in-the-middle-атак, но их можно избежать благодаря использованию цифровых сертификатов для идентификации сервера.

Сертификат помогает подтвердить:

  • Что абонент, которому он выдан, действительно существует.
  • Он управляет сервером, который указан в сертификате.

Выдача сертификата формализована и производится только центрами сертификации, что гарантирует их надежность. Поэтому при использовании HTTPs любой браузер сразу проверяет подлинность сертификата и только после успешной проверки устанавливает сессию.

Как классифицировать зашифрованный трафик?

Классификация зашифрованного трафика не предполагает его дешифрацию, информация, содержащаяся внутри пакетов, остается конфиденциальной и видна только пользователю и удаленному узлу. Эти методы предназначены для интернет-провайдеров и операторов связи, которым классификация помогает гибко управлять трафиком и обеспечивать более высокое качество предоставления услуг (QoS и QoE).

Вот несколько методов, позволяющих классифицировать зашифрованный трафик, с определением их точности и ограничений.

Типовые протоколы: Google, , WhatsApp и т. п.

Метод классификации: определить имя сервиса в сертификате SSL/TLS (Common Name) или в Server Name Indication (SNI).

Точность: детерминированный метод – точность 100 %.

Ограничения: если SNI не появляется в начале процедуры «рукопожатия», то имя сервиса берется из сертификата SSL/TLS (Common Name), доступность которого появляется только после передачи 5-6 пакетов, что может вызывать небольшую задержку. В зависимости от поставщика контента один и тот же сертификат может использоваться для разных сервисов (таких как электронная почта, новости и другие).

Server Name Indication в процессе «рукопожатия»

Common Name в сертификате SSL

Типовые протоколы: BitTorrent, MuTorrent, Vuze и т. п.

Метод классификации: определение IP-адресов известных p2p-пиров.

Во время сессии P2P фаза инициализации соединения не шифруется. На этом этапе возможна идентификация IP-адресов узлов (пиров). Весь трафик, идущий с этих адресов, классифицируется как P2P (например, bittorrent).

Точность: обычно выявляет до 90 % сеансов P2P.

Дополнительная информация: IP-адреса хранятся в L3-4-кэше фиксированного размера, наиболее часто используемые из них попадают в верхнюю часть списка.

Метод классификации: поиск бинарных шаблонов (сигнатур) в потоке трафика.

Как правило, эти шаблоны находятся в первых 2-3 пакетах трафика.

Точность: обычно составляет 90–95 %.

Дополнительная информация: такой статистический метод поиска шаблонов используется для идентификации различных сервисов Skype, таких как ая передача, видео и чат. Этот метод использует комбинацию различных исследований трафика: джиттер, задержка, длина пакета, расстояние между пакетами и другие.

Благодаря использованию современных методов классификации трафика операторы связи и интернет-провайдеры могут использовать функции приоритизации и оптимизации даже для зашифрованного пользовательского трафика. Это значит, что возможность повышать качество обслуживания клиентов не связана с нарушением конфиденциальности их деятельности в сети Интернет.

Платформа глубокого анализа трафика СКАТ DPI от компании VAS Experts позволяет идентифицировать зашифрованный трафик всеми описанными методами, а также имеет дополнительные способы, оптимизированные для российских операторов связи.

Более подробную информацию о преимуществах СКАТ DPI, ее эффективном использовании на сетях операторов связи, а также о миграции с других платформ вы можете узнать у специалистов компании VAS Experts – разработчика и поставщика системы анализа трафика СКАТ DPI.

 Подписывайтесь на рассылку новостей блога, чтобы не пропустить новые материалы.

в социальных сетях

Источник: https://vasexperts.ru/blog/shifrovannyj-trafik-mozhet-byt-klassificirovan/

Законный совет
Добавить комментарий